Suomessa löydettiin erittäin vakava turva-aukkojen suma
4
Oulun yliopiston tutkijaryhmä on löytänyt erittäin vakavan turva-aukkojen ongelman. Melkein kaikki käytetyimmät tiedostojen pakkausformaatit ovat reikäisiä, ja vika vaikuttaa jopa yli 40 eri sovellusohjelmaan. Turva-aukot vaikuttavat esimerkiksi Windowsiin, Linuxiin, lukuisiin tietoturvaohjelmiin ja jopa matkapuhelimiin ja sulautettuihin järjestelmiin.
Haavoittuvuudet on löydetty Oulun yliopiston Ouspg-ryhmän tekemissä pakkaustekniikoiden testauksissa. kansainvälisessä yhteistyössä Oulun yliopistoa on auttanut Cert-fi, ja testimateriaalia on jaeltu maailmanlaajuisesti Cert-fi:n kollegoiden brittiläisen Cpni:n ja japanilaisen Jpcertin kanssa.
Pakkaustekniikat rikkinäisiä
Perusongelma on Cert-fin mukaan se, että lukuisista eri pakkaus- ja arkistoformaattien toteutuksista on löydetty erilaisia haavoittuvuuksia. Haavoittuvuudet liittyvät tuotteisiin, jotka käsittelevät zip-, cab-, rar-, tar-, lha-, arj-, ace-, bz2-, gz- ja zoo -tiedostomuotoja. Toisin sanoen listalla ovat melkeinpä kaikki yleisimmät tiedostojen pakkausmuodot.
Pahimmillaan haavoittuvuudet aukaisevat hyökkääjälle vapaat ovet uhrikoneen hyväksikäyttöön. Osassa tapauksissa turva-aukko antaa mahdollisuuden uhrikoneen kaatamiseen.
Vaikuttaa kymmeniin ohjelmiin ja käyttöjärjestelmiin
Cert-fi muistuttaa, että haavoittuvuustapaus on laaja, sillä pakattua sisältöä käsitellään hyvin monenlaisissa sovelluksissa. Näitä ovat esimerkiksi erilaiset tietoturvaohjelmistot, varmuuskopiointiohjelmistot, toimistosovellukset, salausohjelmistot ja käyttöjärjestelmät sekä niiden kirjastot. Haavoittuvuudet ja niiden vakavuudet vaihtelevat suuresti eri valmistajien kesken.
Cert-fi kertoo, että se on ollut aktiivisesti yhteydessä kymmeniin ohjelmistovalmistajiin, jotta ne haavoittuneet ohjelmistot korjattaisiin. Useita korjauksia onkin jo tehty.
Cert-fi on julkaissut sivuillaan suomenkieliset ja englanninkieliset tiedotteet asiasta.
